【バグハンターインタビュー】PentesterLand

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

【バグハンターインタビュー】はバグバウンティ業界の専門家がバグの種類や傾向についてスポットを当てるインタビューシリーズです。Mariem (PentesterLand)氏は、IntigritiのBug Bytesというコンテンツのニュースレターで、キュレーターを務めています。しかし、彼女はバグハンターでもあるのです。今回は、彼女の経歴とハッカーおよびコンテンツ制作者としての人生について話を聞きました。

Mariemさん、こんにちは。あなたがどんな人なのか、どうやってバグハンターになったのか、少し話してもらえますか?

モロッコに住む34歳のハッカー兼起業家のMariemです。

バグバウンティという言葉をどこで聞いたのか、よく覚えていません。でも、ハッキングを始めたきっかけは……。

私は当初、暗号学とITセキュリティの修士課程を履修していたので、暗号学を専門に学びたいと考えていました。しかし、「ITセキュリティ」の部分がとても楽しくて魅力的だったので、結局DNS Rebinding攻撃のインターンシップに参加することになりました。そして、Webセキュリティと、Webセキュリティの仕組みを分析し、理解し、覆すというアイデアに惚れ込んでしまったのです。

それで、ペネトレーションテストの担当者として就職しました。そこで最新の情報を得るために情報セキュリティのニュースを読んでいるうちに、バグバウンティプログラムに出会い、その魅力に取り付かれました。

では、今はどのような生活を送っているのでしょうか。バグバウンティをフルタイムでやっているのか、それとも趣味でやっているのか、そしてそれはあなたの生活にどのようにフィットしているのでしょうか?

私はいくつもの仕事を掛け持ちしており、この2、3年で状況が大きく変わりました。私は趣味でバグバウンティをやっています。Intigritiでは3ヶ月ほど前からほぼフルタイムで働いており、本業はコンテンツ制作です。そして、時間を見つけてはバグハントをしています。

バグバウンティは、私の人生を良い方向に変えてくれました。バグバウンティは、コミュニティに還元しながら、学びと自分の知識を試すことができます。

どのようにターゲットにアプローチしますか?決められた手順に従っていますか?考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか?あるいはそれ以外の方法でしょうか?

バグの種類によってメモやチェックリストがたくさんあるのですが、ターゲットでハントをするときは、まず使いません。

まずはメインサイトを普通に閲覧して、その目的を理解することから始めます。Burpでリクエストとレスポンスを分析し、もっと深くテストしたい興味深い機能、興味深いURL、パラメータ、ヘッダ、JavaScriptコードのエンドポイントなどをメモします…。

また、範囲を探り、すべてのサブドメイン、買収先、使用されている技術などを調べます。この最初の段階は、基本的に@Jhaddixが行っているような偵察です。

そして、次から次へと焦点を合わせていきます。SSRFにフォーカスしている場合は、脆弱性のあるパラメータを探し、それをテストします。また、一般的にこの脆弱性に関連する機能、例えばimport関数のテストも行います。このとき、チェックリストが役に立ちます。チェックリストは、あらゆる種類の攻撃や迂回テクニックを思い起こさせ、試してみることができます。そして、別のアセットやバグクラスに対してこのプロセスを繰り返すのです。

しかし、やり方や方法論はひとつだけではありません。バグの種類を絞ることは、そのバグについて学びたいときに有効です。時には、電子決済のような機密性の高い機能をテストし、「もしも」の可能性を考えながら、あらゆる種類の脆弱性を探すこともあります。

バグハントで重要な役割を果たすのは偵察ですか?また、それはあなたにとってどのようなものですか?

以前は、偵察ツールの開発に何日もかけていたこともありました。でも、それをやっていると時間がかかりすぎて、自分の強みにならないと思ったんです。それに、すでにたくさんの素晴らしいツールがどんどんリリースされています。

そこで今は、2つのステップで偵察を行っています。まず、何十種類もある公開ツールのラッパーであるカスタムBashスクリプトを実行します。結果は毎回別のフォルダに保存され、新しい発見があればメールで知らせてくれます。

もうひとつは、手作業です。ターゲットを理解し、カスタムワードリストを作成し、特定のディレクトリをファジングして隠れたコンテンツを見つける、といった作業です。

私の偵察の目的は、無名のアセットを見つけた最初の人になることでも、それをテストする唯一の人になることでもありません。むしろ、最も明白なアセットを把握した上で、手動テストに集中することです。

最も力を入れて探す脆弱性のターゲットがあれば、その脆弱性名とその理由を教えてください。

自分自身が恐れを感じる脆弱性に集中して挑戦するのが好きです。もし、そのバグに対処することができれば、他のことは何でもできますし、学ぶことができます。最近は、OAuthの設定ミスやSSRFがこれにあたります。

これらの脆弱性を十分に見つけたら、マスターしたい別の脆弱性に切り替えるつもりです。

ターゲットについては、あまり厳選していません。公開制のプログラムも招待制のプログラムもやります。また、オープンスコープは必須条件ではありません。私は、偵察に頼らずに小さな範囲でバグを見つけるというチャレンジが好きだからです。

あなたの強みはどのようなものですか?どのような種類のツールを頼りにしていますか、どのように選び、お気に入りはどれですか?

私のメインツールは、意外にもBurp Suiteです。それ以外は、オープンソースのツールしか使っていません。例えば、ffuf、amass、massdns、nmapや、@tomnomnom のGoスクリプトのような名作です。また、ProjectDiscovery社では特にnuclei(脆弱性スキャナーツール)が素晴らしいと思います。

この他にも、私はよく新しいツールをテストして、どのツールがどう動くか、どれが速いか、最高の結果が得られるかを比較しています。しかし、ツールのリリースペースについて行くのは大変ですね。

自動化について説明してもらいましょう。多くのハッカーは、偵察、大規模テスト、さらにはサブドメイン乗っ取りなどのバグの自動報告などに活用しています。しかし、手動テストでしか発見できないようなロジックや高度なバグに焦点を当てたい人もいます。自動化について、あなたはどのようにお考えでしょうか?また、それに時間を費やす価値があると思いますか?

先程言ったように、私は自動化とモニタリングのために、公開偵察ツールの周りにBashラッパーを使用しています。このアイデアは、単に時間を節約し、手動テストに集中するためです。

大量の偵察とバグハントの両方を自動化するのは、本当に面白いと思います。多くのバグハンターが、新鮮なアセットを特定し、特定のバグを大規模にテストするために、このツールを使っています。最近、自動化ツールやAPIに関して、多くの新しい開発が行われています。

私ももっと取り組むべきことかもしれませんが、今のところ、私は自動化できないテストに焦点を当てています。

バグハントについて、過去の自分にアドバイスするとしたら?

タイムブロック(スケジュール管理機能)を使って、毎日または毎週、学習と実際のハッキングに何時間割くかをあらかじめ決めておきましょう。

バグバウンティについて読むだけで、実践せずに先延ばしにして時間を「浪費」するのはやめましょう。

自分を信じましょう。

ヨガや瞑想など、不安や恐怖を解消するための練習法を見つけましょう(たとえ気づいていなくても、おそらく不安や恐怖が無意識に潜在能力を発揮するのを止めているからです!)。

そして、上手にメモを取ることを学びましょう。ゼロからシステムを発明する必要はなく、「Building a Second Brain」のような既存のしっかりとした知識管理システムを利用すればいいのです。

バグハンターが直面する大きなハードルのひとつに、情報の過多があります。攻撃やツールの進化のスピードに、どのようについていけばいいのでしょうか。また、情報量の多さに圧倒されている初心者の方に、どのようなことを伝えたいのでしょうか。

私は過去にペネトレーションテストを行っていたため、情報過多が問題でした。ペンテスターは複数のポジションをこなすポリバレントのようにあらゆる技術を駆使し、バグハンターよりも多くの表面を短時間でカバーすることができなければなりません。

だから、バグバウンティを始めたとき、すべての脆弱性の種類、ツール、ヒントを同時に学ばなければならないと思いました。

しかしその後、多くのバグハンターが一つの脆弱性を深く掘り下げて行うことで成功していることに気づきました。そこで、私は学習戦略を変えました。新しいリサーチや情報はメモしておき、自分が注目するテーマになったときだけ、そこに戻ってくるのです。

報奨金で購入した、一番魅力的なものは何ですか?

本当に長い間、バグハントや仕事で稼いだお金はすべて貯金箱に入れるだけでした。そして今年、初めて自分にご褒美をあげようと思ったんです。Burp Suiteの高度な使い方に関する@Agarri_FRのオンサイトトレーニングのチケットを購入し、航空券からホテルまですべて予約しました。

そしたらCovid-19が起きて、イベントがキャンセルになったんです!

そこで代わりに、新しいノートパソコンとスクリーン、フィットネスウォッチ、スタンディングデスクを購入しました。私はほとんどの時間を家で過ごすので、これらは健康を維持しながら生産性を高めるために必要な支出です。基本的には、より多く稼ぐためにより多く使うということです。

メンターであれ、コミュニティメンバーであれ、あなたがエールを送りたいハッカーは誰ですか?

バグバウンティは非常に競争の激しい分野です。ですから、知識を共有するために、時間をかけて記事やビデオ、ツールに取り組み、それらを共有してくれる人には、多大な感謝の意を表します。

思い浮かぶのは、@InsiderPhD, @TomNomNom, @gwendallecoguic, @albinowax, @s0md3v, @EdOverflow, @hakluke, @stokfredrik, @Jhaddix, @securinti, @farah_hawa01, ProjectDiscoveryのチーム… そしてもちろん@NahamSecはインタビューシリーズでバグハンターに大サービスをしてくれている方ですね。

バグバウンティプラットフォームに期待すること、Intigritiを選んだ理由を教えてください。

コラボレーションが始まる前から、Intigritiでハッキングしていました。バグバウンティのプラットフォームやプログラムを選ぶ理由はいくつかあります。私にとっては、単純にバグハンターの経験値が一番の理由です。

いくつかのプラットフォームを使いましたが、Intigritiのトリアージチームが最も効果的で礼儀正しいと感じました。Slackチャンネルには、私たちの質問に答えたり、レポートの結果について話し合える人が常駐しています。

また、コンテンツクリエイターの奨励、バグバウンティのヒント共有、AMAなど、Intigritiがコミュニティのために行っていることのすべてに感謝しています。これは、同社がハッカーコミュニティを本当に大切にしていることを示しています。

インタビューに答えていただき、ありがとうございました。最後に一言お願いします。

このインタビューと、あなたがコミュニティのために行っているすべてのことに感謝します。

出典:Intigriti

https://blog.intigriti.com/2020/08/27/bug-business-10-get-to-know-intigriti-content-creator-pentesterland/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

料金プランを詳しく見る